서비스 거부 공격을 받은 것으로 보이는 웹사이트가 있습니다. 여러 IP 주소가 관련되어 있었고 모두 Facebook에 등록되었습니다.
다음은 Apache 로그 파일에서 발췌한 내용입니다.
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
보시다시피 요청된 URL은 유효하지만 의미 없는 쿼리 문자열을 포함하고 있습니다. 초당 수백 개의 요청이 있습니다.
IP 주소와 리퍼러가 모두 위조된 것으로 생각됩니다. 위의 URL이 Facebook에 게시/공유된 경우에도 동일한 IP 주소 및 참조자로부터 오는 수천 건의 무작위 요청을 모두 설명할 수는 없습니다.
방화벽을 통해 IP 주소를 차단할 수 있지만 다른 IP 주소가 사용되고 있으며(모두 Facebook에 등록되어 있음) 실제로 책임이 없는 경우 Facebook을 차단하고 싶지 않습니다.
이러한 공격의 소스가 다른 곳에서 발생할 가능성이 높으며 이를 완화할 수 있는 방법은 무엇입니까?
답변1
이러한 조회수는 Facebook이 서버에 쿼리하여 이미지나 텍스트 발췌문을 가져오는 경우입니다. 예를 들어, 링크가 게시되어 입소문이 난 경우, 해당 링크는 다음에 의해 로드됩니다.모든해당 링크의 모습. 당신은 연락할 수 있습니다[이메일 보호됨]그래서 그들은 그것을 보고 링크가 실제로 유효한지 결정할 수 있습니다.
이는 서비스 거부 공격이 아니지만 서버가 트래픽 유입에 대처할 수 없다는 점에 유의하세요. 서비스 거부 공격은 사이트를 사용할 수 없게 만드는 것 외에는 아무런 역할도 하지 않으며 이는 단지 사용량이 많은 서버일 뿐입니다.
답변2
페이스북은 아닌 것 같아요.
정확히 이 URI에 액세스하려고 시도했습니까? 서버가 손상되었을 수도 있고 실제로 여기에 수신 대기 중인 내용이 있을 수도 있습니다. 여기에서 HTTP 상태 100이 표시됩니다. 뭔가 진행되고 있습니다. 이는 File not Found.
그리고 자세히 살펴보시기 바랍니다. 웹쉘이 설치되어 있으면 숨겨져 있습니다. 이것이 어떻게 보이는지 마지막 부분에서 여기를 보십시오:http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
다른 모든 경우(이것은 실제로 아무것도 가리키는 가짜 URI입니다):
조회수가 정말 많으면 제한적으로 iptables를 사용할 수 있습니다.http://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
유효한 경로가 아닌 경우 blog.htaccess에서 차단해 보세요.
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
이렇게 하면 서버에 너무 많은 부하가 걸리지 않고 봇이 피곤해질 수도 있습니다.